Забудьте слово «куки»: какими должны быть уведомления о сборе данных в России, чтобы не получить штраф

Если на вашем сайте до сих пор висит унылая плашка «Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie», у меня для вас плохие новости. Вы ходите по тонкому льду, под которым вас ждут штрафы от Роскомнадзора и претензии за нарушение закона о государственном языке.

Да, всё верно. В России больше нельзя просто так говорить «куки». Разбираемся, что произошло и как теперь легально и красиво собирать данные пользователей.

Почему «cookie» теперь вне закона?

Здесь сошлись два юридических фактора:

1. Закон о государственном языке (ФЗ-53 в редакции ФЗ-168). Требования к информации для потребителей ужесточились. Использование иностранных слов допускается, только если они зафиксированы в нормативных словарях или сопровождаются равнозначным переводом на русский. Слов «cookie» или «куки» в официальных словарях нет. Пишете англицизм без внятного русского пояснения — нарушаете закон.
2. Федеральный закон о персональных данных (152-ФЗ). Технические данные, которые позволяют идентифицировать пользователя (IP-адреса, геолокация, те же маркеры браузера) — это персональные данные. Штрафы за обработку ПД без явного согласия пользователя сейчас составляют до 700 000 рублей для юрлиц.

Важно: Пассивное согласие (когда пользователь просто листает сайт, а вы считаете, что он согласился) больше не работает. Согласие должно быть активным, конкретным и информированным. Человек должен сам нажать кнопку «Согласен» и понимать, на что именно он подписывается.

Как называть cookies по-русски?

Забываем птичий язык маркетологов и переходим на понятный русский. Заменить «куки» можно следующими формулировками:

• Файлы данных
• Пользовательские данные
• Маркеры браузера
• Технические данные для работы сайта
• Фрагменты данных

3 крутых варианта уведомлений для вашего сайта

Уведомление не обязано быть скучным бюрократическим текстом. Оно может быть частью tone of voice вашего бренда. Вот три варианта, как это можно оформить прямо сейчас:

Вариант 1: Прямой и прозрачный (для серьезного бизнеса)

Заголовок: Мы собираем данные для работы сайта Текст: Чтобы сайт загружался быстрее, а аналитика помогала нам делать контент лучше, мы сохраняем технические файлы данных в вашем браузере. Вы можете выбрать, какими данными готовы поделиться. Кнопки: [Принять все] [Настроить данные] [Только обязательные]

Вариант 2: Заботливый (для e-commerce и сервисов)

Заголовок: Настраиваем сайт лично под вас Текст: Мы используем фрагменты данных, чтобы запоминать товары в вашей корзине и не показывать вам неинтересную рекламу. Позволите нам сохранить эти настройки? Подробнее — в Политике конфиденциальности. Кнопки: [Разрешаю] [Отказаться от рекламы]

Вариант 3: Дерзкий (для digital-агентств и креативных брендов)

Заголовок: Никаких слепых зон Текст: Мы собираем пользовательские данные. Без них наша аналитика слепнет, а сайт работает как в 2007-м. Жмите «Согласен», чтобы мы могли делать крутой маркетинг, или оставьте только базовые настройки. Кнопки: [Согласен на всё] [Настроить сбор]

Чек-лист: проверьте свой баннер прямо сейчас

Чтобы спать спокойно и не бояться проверок, убедитесь, что ваш попап соответствует этим правилам:

• [ ] Нет одинокого слова «cookie» (или оно идет строго в скобках после подробного русского термина).
• [ ] Есть активная кнопка согласия. Никаких заранее проставленных галочек в чекбоксах.
• [ ] Есть возможность отказаться. Пользователь должен иметь возможность принять только строго необходимые технические файлы, без которых сайт просто сломается.
• [ ] Есть ссылка на Политику конфиденциальности. Страница должна открываться в один клик прямо из баннера.

Адаптируйтесь к новым правилам не ради галочки, а ради уважения к своим пользователям. Грамотный и честный запрос на сбор данных повышает лояльность аудитории куда лучше, чем попытка спрятать трекинг мелким шрифтом в подвале сайта.

А нужно ли хранить журнал согласий? Спойлер: да, и это критично

Многие думают, что достаточно просто повесить красивый баннер с кнопкой «Согласен» — и дело в шляпе. Это огромное заблуждение.

Согласно ч. 3 ст. 9 закона № 152-ФЗ, обязанность доказать, что пользователь дал согласие на обработку своих данных, целиком лежит на вас как на операторе. Если придет проверка Роскомнадзора или поступит жалоба от въедливого посетителя, ваш скриншот красивой кнопки никого не убедит. Вам потребуются железобетонные цифровые следы.

Кнопка без логов — это фикция. Нет записи в базе = нет согласия = штраф.

Что именно нужно фиксировать в базе данных (журнале логов):

• IP-адрес и User-Agent (данные о браузере и операционной системе) пользователя, который нажал кнопку.
• Точные дату и время (таймстемп) получения согласия.
• Объем согласия: на что именно согласился человек. Выбрал ли он только строго необходимые технические данные, или разрешил собирать аналитику и рекламные маркеры.
• Версию документа: какая именно редакция вашей Политики конфиденциальности действовала в ту секунду, когда пользователь нажал «Согласен».

Как это реализовать технически?

• Для кастомной разработки: озадачьте программистов, чтобы они настроили запись этих логов напрямую в вашу базу данных и обеспечили их сохранность.
• Для готовых решений: используйте специализированные сервисы CMP (Consent Management Platform). Они не только выводят легальный баннер, но и сами ведут защищенный журнал согласий. Если придет запрос от РКН, вы просто выгружаете отчет из такого сервиса.